DNS协议详解ppt.ppt
《DNS协议详解ppt.ppt》由会员分享,可在线阅读,更多相关《DNS协议详解ppt.ppt(57页珍藏版)》请在冰豆网上搜索。
DNS,目标,了解DNS的概念掌握使用Linux/bind配置域名服务器的基本方法了解不同类型域名服务器的配置方法掌握域名服务调试原理及调试工具,课程组成,1、什么是DNS?
2、DNS工作原理3、DNS系统组成4、BIND5、典型服务器配置6、DNS安全、日志分析入门8、DNS协议的简单分析,1、什么是DNS,什么是DNS,DNS(英文单词的全称是:
DomainNameSystem,域名系统),DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串,DNS作用,树状分层结构组织管理计算机查找名字与地址之间的对应关系,host1,DNSServer,DNS的设计目标,
(一)、为访问网络资源提供一致的名字空间;
(二)、从数据库容量和更新频率方面考虑,必须实施分散的管理,通过使用本地缓存来提高性能;(三)、在获取数据的代价、数据更新的速度和缓存的准确性等方面折衷;(四)、名字空间适用于不同协议和管理办法,不依赖于通讯系统;(五)、具有各种主机的适用性,从个人机到大型主机。
DNS的特点,DNS的特点:
树形结构:
采用Client/Server工作方式;一个Domain一般是一个工作站群,可有一个主域名服务器及若干辅域名服务器;应用层协议是标准TCP/IP协议的一个组成部分。
DNS结构与作用机制,DNS树状结构图,2、DNS系统组成,DNS包含三个主要组成部分:
(1)、域名空间(NameSpace)和资源记录(ResourceRecord)
(2)、域名服务器(NameServer)用以提供域名空间结构及信息的服务器程序。
(3)、解析器(Resolver)作用是应客户程序的要求从域名服务器抽取信息。
(1)域名空间,域名空间被设计成树状层次结构,类似于UNIX的文件系统结构,域名空间,Internet的域名组成最上层设有九类组织:
COM商业组织EDU教育机构GOV政府机构MIL军事单位NET提供网络服务的单位ORG非赢利性组织INT国际组织ARPA由ARPANET沿留的名称国家名称,资源记录,资源记录是与名字相关联的数据,域名空间的每一个节点包含一系列的资源信息。
资源记录,一条资源记录共有5项,分别是域名(Domain_name)、生存时间(Time_to_live)、类型(Type)、类别(Class)、值(Value),
(2)域名服务器(NameServer),用以提供域名空间结构及信息的服务器程序LINUX默认是BIND,提供域名解析服务,域名服务器分类,分类:
根(root)服务器由NIC来维护主域名服务器(PrimaryServers)负责一个域的名称解析,通常为一个辅助域名服务器(SecondaryServers)域的冗余和备份专用缓存域名服务器(Cache-onlyServers)缓存非授权的DNS信息转发域名服务器(ForwardingServers),(3)解析器(Resolver),作用是应客户程序的要求从名字服务器抽取信息,3、DNS如何工作,DNS工作,DNS作用机制,查询方式-递归方式,查询方式-循环(交互)方式,4、BIND,BIND简介,BIND(BerkeleyInternetNameDomain)BerkeleyUniversityISC组成域名系统服务器(named)域名系统解析库域名系统服务器调试工具版本BINDV4BINDV8BINDV9,4、BIND,BIND提供linux下的域名服务。
简介:
BIND是C/S系统客户端是转换程序(resolver)服务器端是named守护进程,配置实例,通过例子学习DNS解析域名:
服务器:
192.168.1.120,相关配置文件,1)客户端:
(默认安装)/etc/host.conf系统自带/etc/resolv.conf系统自带2)服务器端:
/etc/named.conf系统自带/var/named/named.local/var/named/named.ca/var/named/localhost.zone/var/named/name2ip.conf(正向解析,自建,可由localhost.zone拷贝生成)/var/named/ip2name.conf(反向解析,自建,可由named.local拷贝生成)3)其他:
/etc/hosts系统自带/etc/nsswitch.conf,客户端配置文件详解,/etc/host.conf,文件/etc/host.conf是用来控制本地转换程序设置的文件。
该文件告诉转换程序使用哪些服务以及按照什么顺序进行查询。
该文件的字段可以用空格或制表符来分隔,/etc/host.conf,1)Order指定按照哪种顺序来尝试不同的名字解析机制。
按列出的顺序进行指定的解析服务。
支持下面的名字解析机制:
hosts试图通过查找本地/etc/hosts文件来解析名字bind使用DNS服务器来解析名字nis使用NIS服务来解析主机名字,/etc/host.conf,2)Multi以off和on为参数。
与host查询一起使用,用来确定一台主机是否在/etc/hosts文件中,制订了多个IP地址(该项对于DNS和NIS无效)3)Nospoof若在反向解析找出与指定的地址匹配的主机名,则对返回的地址进行解析以确认它确实与您的查询地址相匹配。
为了防止“骗取”IP地址,通过指定nospoofon来允许此功能,/etc/host.conf,4)Alert以off和on为参数。
若为on,则任何试图骗取IP地址的行为都通过syslog工具进行记录5)Trim以域名为参数。
在查找名字前先删除此域名,再从文件/etc/hosts查找匹配的主机名,/etc/resolv.conf,当配置转换程序使用BIND域名服务查询主机时,必须告诉转换程序使用哪一个域名服务器。
用来完成这项任务的工具就是/etc/resolv.conf文件,服务器端文件配置详解,服务器端配置文件详解,/etc/named.conf:
主配置文件/var/named/named.ca:
根域名服务器指向文件/var/named/localhost.zone/var/named/named.local/var/named/name2ip.conf/var/named/ip2name.conf,默认的localhost区文件,用户配置的区文件,更新named.ca,1、ftpFTP.RS.INTERNIC.NET登陆名:
anonymous密码:
your_accountyour.mail.servercddomaingetnamed.root退出:
bye2、cp/var/named/named.ca/var/named/named.ca.bak3、catnamed.root/var/named/named.ca,1、主配置文件,/etc/named.conf设置named的参数,指向该服务器使用的域数据库的信息源,主配置文件named.conf的配置语句,全局配置语句options,语法:
options(配置子句;配置子句;);,全局配置语句options,区(zone)声明,zone“zone-name”IN(type子句;file子句;其他子句;);一条区声明需要说明:
()域名;()服务器的类型;()域信息源。
常用的区声明子句,2、区文件,定义一个区的域名信息,通常也称域名数据库文件。
每个区由若干资源记录和区文件指令构成。
9.1资源记录,DomainTimetoLiveClassrecordtyperecorddataDomain:
要定义的资源记录的域名TimetoLive:
存活期class:
类别,采用IN,代表INTERNETrecorddata:
记录数据recordtype:
记录类型A主机CNAME别名MX邮件交换记录NS域名服务器PTR地址解析成主机SOA定义服务器资源信息,启动DNS,/etc/rc.d/init.d/namedstart、restart、stop或者在setup中设置,9.4测试DNS,nslookupnslookup-dnsservernslookuphostnamenslookupdigdighostnamequery-typehosthost-a|-tquery-typehostname|domainname,查看vi/var/log/messages:
一般有auth-nxdomain和IPV6的提示是正常的,9.5DNS的安全管理,查询请求限制:
只允许该范围的IP查询本DNSoptionsallow-query166.22.33.0/24;对特殊的域进行限制:
只允许该域的主机查询本DNSallow-query“”;防止非授权的数据库文件传送:
只允许指定辅助DNS复制本DNS的数据。
allow-transfer166.22.0.16;,DNS的安全管理,options(version“IamFBI”;)黑客探测dns版本,然后根据该版本的漏洞来攻击。
配置了这条命令后,别人再探测的版本后就是“IamFBI”了,配置域名转发,当DNS客户端向指定的DNS服务器要求进行域名解析时,若此域名服务器无法解析,它将用缓存中的信息帮助定位能解析的其他服务器optionsforwarders202.106.196.115;202.106.0.20;,4、BIND,1、软件列表BIND9.3.2ftp:
/ftp.isc.org/isc/bind9/9.3.2/bind-9.3.2.tar.gz2、安装BIND9安装BIND9:
#tarzxvfbind-9.3.2.tar.gz#cdbind-9.3.2#./configure-prefix=/usr/local/named-disable-ipv6#make&makeinstall,4、BIND,3、建立BIND用户:
#groupaddbind#useradd-gbind-d/usr/local/named-s/sbin/nologinbind4、创建配置文件目录:
#mkdirp/usr/local/named/etc#chownbind:
bind/usr/local/named/etc#chmod700/usr/local/named/etc,5、创建主配置文件、PID和日志文件:
#touch/usr/local/named/etc/named.conf#mkdir/var/run/named/#chmod777/var/run/named/#chownbind:
bind/var/run/named/#mkdir/var/log/named/#touch/var/log/named/dns_warnings#touch/var/log/named/dns_logs#chownbind:
bind/var/log/named/*#mkdirmaster#touchmaster/cnc.def#touchmaster/telecom.def,6、生成rndc-key:
#cd/usr/local/named/etc/#./sbin/rndc-confgenrndc.conf把rndc.conf中:
#Usewiththefollowinginnamed.conf,adjustingtheallowlistasneeded:
后面以的部分加到/usr/local/named/etc/named.conf中并去掉注释,